Em texto publicado na última sexta-feira (7), a Bitcoin Optech nota que desenvolvedores estão se preparando implementar uma nova política sobre a divulgação de vulnerabilidades em versões antigas do Bitcoin Core.
Como recomendação, também afirmam que usuários devem atualizar seu software para a versão 25.0 ou superior.
O comunicado rapidamente causou pânico na comunidade. Isso porque muitas pessoas ainda utilizam versões antigas do Bitcoin, já que as novas são retro-compatíveis. Em outras palavras, atualizações não são necessárias.
Desenvolvedores anunciam nova política de divulgação de vulnerabilidades no Bitcoin
Antoine Poinsot, mais conhecido como ‘darosior’, publicou uma proposta no último sábado (8) sobre a divulgação de vulnerabilidades em versões antigas do Bitcoin Core. A intenção seria receber o feedback de outros desenvolvedores sobre o assunto.
Atualmente as vulnerabilidades são divididas em 4 categorias: baixa, média, alta e crítica. No entanto, poucas pessoas tem acesso a essas informações e, após reclamações de terceiros, eles estão tentando mudar isso.
“Queremos começar a implementar gradualmente a política [de divulgação], para dar a chance de todos que ainda não o fizeram para atualizarem suas versões”, escreveu Poinsot. “Para esse fim, vamos divulgar gradativamente falhas de segurança que foram corrigidas em lançamentos anteriores, até o ponto em que todas as falhas das versões que chegaram ao fim da vida útil tenham sido divulgadas.”
Em relação a “vida útil”, isso seria cerca de 1 ano e meio desde o lançamento da versão.
“Começaremos este mês (junho) com falhas históricas: todas que foram corrigidas na versão 0.21.x e anteriores (temos falhas não divulgadas tão antigas quanto a versão 0.11). A menos que haja um bom motivo para mudar o curso (através do feedback recebido dos usuários), continuaríamos em julho com as falhas corrigidas na versão 22.x. Em agosto, com as falhas corrigidas na versão 23.x. E assim por diante.”
Após a divulgação dessas vulnerabilidades, é possível que atores maliciosos tentem explorá-las. Portanto, isso explica porque a mudança na política está sendo tratada com tanta atenção.
Bitcoin Optech recomenda atualizar Bitcoin Core para versão 25 ou superior
Um dia antes de Poinsot publicar as mudanças no Github, que já estavam sendo discutidas no IRC, a Bitcoin Optech recomendou que operadores de nodes atualizem seus softwares para a versão 25 ou superior.
Isso porque as divulgações chegariam até as versões 24.x. Atualmente o software está em sua versão 27.0, lançada em abril desse ano.
“Recomenda-se fortemente que todos os usuários e administradores atualizem para o Bitcoin Core 25.0 ou superior nas próximas duas semanas.”
“É sempre ideal usar a versão mais recente possível, seja a versão mais recente absoluta (27.0 no momento da escrita) ou a versão mais recente de uma série específica de lançamentos (por exemplo, 25.2 para a série de lançamentos 25.x ou 26.1 para a série de lançamentos 26.x)”, concluíram os especialistas.
Usuários entram em modo de pânico
Devido ao modo que as informações sobre a nova política foram apresentadas, diversos usuários se mostraram preocupados com a divulgação das falhas. Alguns deles acreditam que versões anteriores a 24 contém uma grande vulnerabilidade.
“Parece que uma falha de segurança grave foi descoberta no Bitcoin Core e foi corrigida na versão 0.25”, escreveu um deles ao retuitar a postagem da Bitcoin Optech. “Atualize imediatamente se você estiver na versão 0.24 ou anterior.”
“Uma vulnerabilidade (grave?) no Bitcoin Core v24 será divulgada em duas semanas”, escreveu outro. “Não sei se há uma maneira melhor de anunciar essas coisas, mas algo sobre a forma como isso é formulado, a relação entre nós e eles, a assimetria de informações… apenas me deixa desconfortável.”
A (serious?) vulnerability with Bitcoin Core v24 is to be disclosed in two weeks.
Not sure if there is a better way to announce these things, but something about the way this is phrased, the relationship between us and them, the information asymmetry…just makes me feel uneasy. https://t.co/qTIY8kVTyh pic.twitter.com/dFlybQf2Cc
— Pledditor (@Pledditor) June 9, 2024
Tentando amenizar a situação, Ava “achow101” Chow explicou que as primeiras divulgações serão sobre as versões 0.21.x e anteriores, levando mais alguns meses para chegar até as falhas da versão 24.
“O objetivo é estabelecer uma política de divulgação e informar os usuários em vez de basicamente nunca fazer isso”, concluiu achow101, notando que “a política exata de divulgação ainda está em debate”.
Por fim, usuários que quiserem participar da discussão podem enviar seus comentários através do Github mencionado acima. Tal política de divulgação de falhas já existe em carteiras, por exemplo, e não é única do setor de criptomoedas.